Se connecter en privé aux environnements
L’architecture de référence est sécurisée de par sa conception. Elle utilise une approche de sécurité multicouche pour surmonter les risques d’exfiltration de données courants posés par les clients. Vous pouvez utiliser certaines fonctionnalités sur une couche réseau, d’identité, de données ou de service pour définir des contrôles d’accès spécifiques et exposer uniquement les données requises à vos utilisateurs. Même si certains de ces mécanismes de sécurité échouent, les fonctionnalités favorisent le maintien de la sécurité des données au sein de la plateforme à l’échelle de l’entreprise.
Les fonctionnalités réseau, telles que les points de terminaison privés et l’accès réseau public désactivé, peuvent réduire de façon considérable la surface d’attaque d’une plateforme de données d’une organisation. Toutefois, même si ces fonctionnalités sont activées, vous devez prendre des précautions supplémentaires pour vous connecter à des services tels que les comptes de stockage Azure, les espaces de travail Azure Synapse, Azure Purview et Azure Machine Learning à partir du réseau Internet public.
Ce document décrit les options les plus courantes permettant de se connecter à des services au sein d’une zone d’atterrissage de gestion des données ou d’une zone d’atterrissage des données de façon simple et sécurisée.
À propos des serveurs de rebond et de l’hôte Azure Bastion
La solution la plus simple consiste à héberger un serveur de rebond sur le réseau virtuel de la zone d’atterrissage de gestion des données ou de la zone d’atterrissage des données pour se connecter aux services de données via des points de terminaison privés. Un serveur de rebond est une machine virtuelle Azure exécutant Linux ou Windows et à laquelle les utilisateurs peuvent se connecter via le protocole RDP (Remote Desktop Protocol) ou Secure Shell (SSH).
Auparavant, les machines virtuelles de serveur de rebond devaient être hébergées avec des adresses IP publiques pour permettre l’activation des sessions RDP et SSH à partir du réseau Internet public. Des groupes de sécurité réseau pouvaient être utilisés pour verrouiller davantage le trafic afin d’autoriser les connexions à partir d’un ensemble limité d’adresses IP publiques. Toutefois, cette approche signifiait qu’une adresse IP publique devait être exposée depuis l’environnement Azure, ce qui augmentait la surface d’attaque d’une organisation. Les clients pouvaient également utiliser des règles DNAT dans leur pare-feu Azure pour exposer le port SSH ou RDP d’une machine virtuelle au réseau Internet public, ce qui pouvait entraîner des risques de sécurité similaires.
Aujourd’hui, au lieu d’exposer publiquement une machine virtuelle, vous pouvez avoir recours à une alternative plus sécurisée en vous appuyant sur Azure Bastion. Azure Bastion fournit une connexion à distance sécurisée du portail Azure aux machines virtuelles Azure via le protocole TLS (Transport Layer Security). Azure Bastion doit être configuré sur un sous-réseau dédié (sous-réseau avec le nom AzureBastionSubnet
) dans la zone d’atterrissage des données Azure ou la zone d’atterrissage de gestion des données Azure. Vous pouvez ensuite l’utiliser pour vous connecter à n’importe quelle machine virtuelle sur ce réseau virtuel ou à un réseau virtuel appairé directement à partir du portail Azure. Aucun client ni agent supplémentaire n’a besoin d’être installé sur une machine virtuelle. Vous pouvez à nouveau utiliser des groupes de sécurité réseau pour autoriser les protocoles RDP et SSH à partir d’Azure Bastion uniquement.
Azure Bastion offre quelques avantages supplémentaires liés à la sécurité de base, notamment :
- Le trafic partant d’Azure Bastion vers la machine virtuelle cible reste au sein du réseau virtuel client.
- Vous bénéficiez d’une protection contre le balayage de ports, car les ports RDP, les ports SSH et les adresses IP publiques des machines virtuelles ne sont pas exposés publiquement.
- Azure Bastion vous protège contre les codes malveillants exploitant une faille de sécurité « zero-day ». Il se situe au périmètre de votre réseau virtuel. Étant donné qu’il s’agit d’une plateforme en tant que service (PaaS), la plateforme Azure maintient à jour Azure Bastion.
- Le service s’intègre avec les appliances de sécurité natives pour un réseau virtuel Azure, tel que le pare-feu Azure.
- Vous pouvez utiliser Azure Bastion pour surveiller et gérer les connexions à distance.
Pour plus d’informations, consultez Présentation d’Azure Bastion.
Déploiement
Pour simplifier le processus pour les utilisateurs, il existe un modèle Bicep/ARM qui peut vous aider à créer rapidement cette configuration au sein de votre zone d’atterrissage de gestion des données ou de votre zone d’atterrissage des données. Utilisez ce modèle pour créer la configuration suivante au sein de votre abonnement :
Pour déployer vous-même l’hôte Bastion, sélectionnez le bouton Déployer sur Azure :
Lorsque vous déployez Azure Bastion et un serveur de rebond via le bouton Déployer sur Azure, vous pouvez fournir les mêmes préfixe et environnement que vous utilisez dans votre zone d’atterrissage des données ou votre zone d’atterrissage de gestion des données. Ce déploiement ne présente aucun conflit et agit comme un module complémentaire de votre zone d’atterrissage des données ou de votre zone d’atterrissage de gestion des données. Vous pouvez ajouter manuellement d’autres machines virtuelles pour permettre à davantage d’utilisateurs de travailler au sein de cet environnement.
Connexion à la machine virtuelle
Après le déploiement, vous remarquerez que deux sous-réseaux supplémentaires ont été créés sur le réseau virtuel de la zone d’atterrissage de données.
En outre, vous trouverez un nouveau groupe de ressources dans votre abonnement, qui comprend la ressource Azure Bastion et une machine virtuelle :
Pour vous connecter à la machine virtuelle à l’aide d’Azure Bastion, procédez comme suit :
Sélectionnez la machine virtuelle (par exemple, dlz01-dev-bastion), sélectionnez Se connecter, puis sélectionnez Bastion.
Sélectionnez le bouton bleu Utiliser le bastion.
Entrez vos informations d’identification, puis sélectionnez Se connecter.
La session RDP s’ouvre dans un nouvel onglet de navigateur, où vous pouvez commencer à vous connecter à vos services de données.
Connectez-vous au portail Azure.
Accédez à l’espace de travail Azure Synapse
{prefix}-{environment}-product-synapse001
au sein du groupe de ressources{prefix}-{environment}-shared-product
pour l’exploration de données.Dans l’espace de travail Azure Synapse, chargez un exemple de jeu de données à partir de la galerie (par exemple, le jeu de données des taxis de la ville de New York), puis sélectionnez Nouveau script SQL pour interroger les lignes
TOP 100
.
Si tous les réseaux virtuels ont été appairés les uns aux autres, un seul serveur de rebond est requis dans une zone d’atterrissage des données pour accéder aux services figurant dans toutes les zones d’atterrissage des données et les zones d’atterrissage de gestion des données.
Pour savoir pourquoi nous recommandons cette configuration réseau, consultez Considérations relatives à l’architecture réseau. Nous vous recommandons de disposer d’un service Azure Bastion au maximum par zone d’atterrissage de données. Si davantage d’utilisateurs requièrent l’accès à l’environnement, vous pouvez ajouter des machines virtuelles Azure supplémentaires dans la zone d’atterrissage des données.
Utiliser des connexions de point à site
Vous pouvez également connecter des utilisateurs au réseau virtuel à l’aide de connexions de point à site. Une solution Azure native à cette approche consiste à configurer une passerelle VPN pour autoriser les connexions VPN entre les utilisateurs et la passerelle VPN via un tunnel chiffré. Une fois la connexion établie, les utilisateurs peuvent commencer à se connecter en privé aux services hébergés sur le réseau virtuel au sein du locataire Azure. Ces services incluent les comptes Stockage Azure, Azure Synapse Analytics et Azure Purview.
Nous vous recommandons de configurer la passerelle VPN dans le réseau virtuel hub de l’architecture hub-and-spoke. Pour obtenir des instructions pas à pas détaillées sur la configuration d’une passerelle VPN, consultez Tutoriel : Créer un portail de passerelle.
Utiliser des connexions de site à site
Si les utilisateurs sont déjà connectés à l’environnement réseau local et que la connectivité doit être étendue à Azure, vous pouvez utiliser des connexions de site à site pour connecter le hub de connectivité local et Azure. À l’instar d’une connexion de tunnel VPN, la connexion de site à site vous permet d’étendre la connectivité à l’environnement Azure. Cela permet aux utilisateurs qui sont connectés au réseau d’entreprise de se connecter en privé à des services hébergés sur le réseau virtuel au sein du locataire Azure. Ces services incluent les comptes Stockage Azure, Azure Synapse et Azure Purview.
L’approche Azure native recommandée pour cette connectivité est d’utiliser ExpressRoute. Nous vous recommandons de configurer une passerelle ExpressRoute dans le réseau virtuel hub de l’architecture hub-and-spoke. Pour obtenir des instructions pas à pas détaillées sur la configuration de la connectivité ExpressRoute, consultez Tutoriel : Créer et modifier l’appairage pour un circuit ExpressRoute à l’aide du portail Azure.